금결원 공인인증서 부정사용 방지시스템 2년간 `헛수고`

정부가 개인의 인터넷뱅킹 금융사고 시 책임소재를 가릴 목적으로 2년 전부터 수집해온 PC 하드디스크드라이브(HDD) 시리얼 넘버 정보가 엉터리로 관리돼온 사실이 확인됐다. 분실 또는 도난된 공인인증서가 타인 PC에서 부정 사용되는 것을 막기 위해 개인의 공인인증서 발급 PC 이력을 정부 감독기관이 데이터베이스(DB)로 관리한다는 취지였지만 부실한 DB관리로 정부는 2년 넘게 헛수고만 한 셈이다.

11일 본지가 금융결제원에 확인한 결과 2010년부터 수집해온 공인인증서 발급 PC의 HDD 시리얼 넘버가 PC별 고유번호가 아닌 동일한 숫자(예 123456)로 일괄 저장된 사실이 밝혀졌다. 금융결제원이 지난 2010년 7월 구축한 `공인인증서 부정사용 방지시스템`에서 오류가 발생했기 때문이다.

`공인인증서 부정사용 방지시스템`은 공인인증서의 부정사용을 막기 위해 금융결제원이 2010년 7월 도입한 시스템으로, 발급로그와 사용자 정보(IP 정보와 MAC 주소, 하드디스크 시리얼 정보 등)를 통해 부정발급 여부를 분석하고 이에 대한 조치를 가능케 해주는 역할을 한다.

이 기간 24개 시중은행을 거쳐 발급된 공인인증서는 총 381만9908건이다. 이 가운데 국민·우리·외환·전북·씨티·HSBC 등 8개 은행을 경유해 발급된 150만건 가량의 공인인증서가 2년여 동안 엉터리 숫자로 취합·관리돼 왔다.

금융결제원은 2010년 7월부터 `공인인증서 이용관리의 안정성 확보대책(행안부, 2009. 9)` 차원에서 공인인증서 부정사용을 원천 차단하기 위해 개인이 공인인증서를 발급하거나 복사하면 해당 PC 고유의 시스템 정보를 DB로 저장해왔다. 이 정보는 개인이 금융거래 과정에서 공인인증서를 사용할 때 금결원은 공인인증서가 사용되는 PC가 최초 공인인증서 발급 시 사용됐던 PC인지를 확인해 사용가능 여부를 판단하는 데 사용된다.

HDD 시리얼 넘버 등은 PC의 고유값으로 해킹, 피싱 등으로 인한 인터넷뱅킹 사고 발생 시 사고 책임이 고객인지 은행인지를 입증할 수 있는 중요한 증거로 사용된다. 또 동일 PC에서 공인인증서가 수십 회 발급, 저장된다면 이는 정상적인 사용패턴이 아닌 부정발급일 가능성이 높아 사고 발생을 예방할 수도 있다.

금융결제원 측은 “공인인증기관은 사고정보(IP 주소 MAC 주소, 하드디스크 시리얼)를 이용해 부정적인 목적이나 비정상적인 방법으로 발급을 받는 사람이 해당정보를 이용하는 경우, 공인인증서 온라인 재발급 원천차단 등 조치를 취하기 위해 사용한다”고 말했다.

그러나 지난 2년간 무려 수백만명에 달하는 사용자의 HDD 시리얼 넘버가 똑같은 번호로 잘못 수집되고 있었지만 금융결제원은 이를 전혀 알아차리지 못했다. 그 사이 심각한 인터넷뱅킹 사고가 발생했더라도 공인인증서 부정 사용 여부를 확인할 방법이 없었던 것이다. 특히 이 정보들은 정부가 하반기 실행할 계획인 `인터넷뱅킹 PC 등록제`의 주요 근간이 된다. 자칫 잘못 하면 PC등록제 자체가 유명무실해질 뻔했다.

금융결제원은 뒤늦게 이 사실을 확인하고, 시스템을 공급한 인테리젠 등에 지시, 시스템 오류수정 작업을 진행하고 있으나 그동안 수집된 정보는 복원이 불가능한 상황이다.

보안 전문가들은 시스템 공급업체 부주의와 금융결제원의 부실한 관리 등 총체적인 부실과 안전불감증을 지적했다. 김승주 고려대정보보호대학원 교수는 “공공기관 대부분이 새로운 소프트웨어, 시스템 등이 들어오면 사용 전 철저히 검수해야 하지만 능력 부족으로 이를 제대로 수행하지 못하는 사례가 적지 않다”며 “2년 넘도록 오류를 발견하지 못한 것은 심각한 문제”라고 말했다.

금융결제원 인증운영팀 관계자는 “HDD 시리얼 넘버 수집체계에 문제가 생겨 현재 수습 중”이라며 “시스템 공급사에서 문제를 분석 중이지만 내부적으로 검색하는 데 불편해 수정하는 것일 뿐 사용자에게 문제가 되지 않는다”고 설명했다.

하지만 전문가들은 “시중은행 가운데 1위인 국민은행 등이 포함돼 있어 정부 부주의로 상당수 고객이 위험에 노출돼 있던 것”이라며 “금융 관련 시스템은 고객의 소중한 금융자산을 보호하는 만큼 각별한 주의를 기울여야 한다”고 지적했다.

장윤정기자 linda@etnews.com